船舶VSAT与网络安全研究

摘  要：VSAT为船舶提供了价格相对低廉、上网速度比较快的卫星通信服务，受到船舶所有人和船员的青睐。目前提供VSAT宽带卫星通信业务的通信公司很多，实力和服务水平也参差不齐。同时，该系统是非GMDSS系统，缺少统一的规范标准，这样给船舶网络安全带来了一定的风险，因此在使用该网络的同时，也必须充分考虑到这些风险，做好防范工作，在享受VSAT带来便利的同时，避免遭受网络攻击，确保船舶营运安全。

关键词：卫星通信;VSAT;Inmarsat系统;铱星系统;GMDSS;网络安全

从21世纪初开始，随着船舶智能化、数字化进程的加快，物联网的应用，船舶视频、船舶日常监管和应急指挥以及船员个人对通信和网络的需求，都对大容量的宽带卫星通信服务提出了更高的要求，为满足这些需求，一种新型的卫星通信方式——VSAT在船舶上得到广泛的应用。在得到VSAT系统给我们提供的快速、廉价卫星通信服务的同时，它的运用所带来的网络安全问题也必须引起我们的重视。

1 船用卫星通信系统现状

卫星通信是目前也是将来船舶的主要通信方式。按照要求分，船舶通信有2种类型，一是保障海上人命安全及船舶航行安全的应急通信，二是满足船舶所有人和船员日常通信需求的常规通信。

在卫星通信系统中，目前只有Inmarsat系统提供船舶应急通信服务。由于美国的积极推动，2024年后，美国的“铱星系统”也将为船舶提供应急通信服务，届时，船舶应急通信将由Inmarsat和“铱星系统”两个卫星通信系统共同提供应急通信服务，以满足保障海上人命安全及船舶航行安全的船舶遇险与通信的需求。

常规通信中，Inmarsat系统相继推出了Fleet Board业务（L波段）和Global Xpress业务（Ka波段），Global Xpress同Fleet Boradband两种业务组合为Inmarsat Fleet Xpress业务（早期称为Inmarsat-VSAT），这样既提高了通信的可靠性（L波段特点），同时也提高信息传输传输速率，降低了通信费用（Ka波段特点），只是船用通信设备增加一副卫星天线而已。“铱星系统”在常规通信中也准备开展Ka波段的业务，以提高通信速度，降低通信费用来吸引更多的用户。但是由于这两个系统通信费用比较高等原因，尽管这两个系统被纳入GMDSS中，船东在常规通信中选择使用这两个系统还是有所考虑的。

由于上述原因，目前在船舶常规通信中得到广泛应用的VSAT系统还将继续在船舶常规通信中充当重要的角色。即在今后的船舶常规通信中，将会出现Inmarsat系统、“铱星系统”和船东自行选择的VSAT系统并存的局面。

2 VSAT简介

VSAT（Very Small Aperture Terminal）甚小口径卫星终端，自20世纪80年代最先在美国兴起，用户终端天线口径小，通常为0.3～1.4 m。

VSAT系统由一个主站及众多分散设置在各个用户所在地的远端VSAT终端组成，使用的卫星主要由地球静止轨道卫星组成，卫星工作在不同的频段，如C波段、Ku波段和Ka波段。VSAT系统具有灵活性强，可靠性高，成本低等特点。可提供电话、传真、数据信息等多种通信业务，数据传输速率可达兆（M）级。

船载VSAT系统是由通信运营商租用不同通信卫星组织的卫星（个别也有自有卫星）或转发器后组成的一个通信卫星网络，与传统船用网络相比，VSAT系统传输速率较快、费率相对低廉。但是VSAT系统工作的波段（Ku和Ka波段）容易受到雷暴天气影响。

2.1 VSAT系统组成

VSAT卫星通信系统由空间和地面两部分组成，如图1所示。

VSAT空间部分主要有静止轨道卫星组成，卫星工作的频段有C（4～8 GHz）波段、Ku（12～18 GHz）波段和Ka（26.5～40 GHz）频段，星上转发器的发射功率应尽量大，以使VSAT地面终端的天线尺寸尽量小。早期卫星通信使用C波段，后来因为C波段变得拥挤，于是就相继出现了Ku波段、Ka波段等。C波段信号覆盖地域广，信号强度弱，接收天线要求面积大。Ku和Ka波段信號强，但覆盖地域小，波长短，天线面积较小，但雨衰问题比较严重。

VSAT的地面部分由主站、远端站和网络控制单元组成，对于开放船舶通信业务的VSAT来说，主站的作用是陆地网络和移动网络的网关，远端站是卫星通信网络的主体，VSAT卫星通信网就是由许多的远端站组成的，这些站越多每个站分摊的费用就越低。一般远端站直接安装于用户处，与用户的终端设备连接。

船舶VSAT远端站由室外单元和室内单元组成，如图2所示。室外单元即射频设备，包括小口径天线、上下变频器和各种放大器;室内单元即中频及基带设备，包括调制解调器、编译码器等，因业务不同而略有不同。

2.2 VSAT通信网络

VSAT典型的网络形态有：星状网与网状网，如图3所示。

星状网是指以VSAT网络主站为网络中心，各VSAT端站与主站之间构成通信链路，各VSAT端站之间不构成直接的通信链路。VSAT端站之间构成通信链路时需要通过VSAT主站转发来实现。这类功能均由VSAT主站的网络控制系统参与来完成。

网状网是指各VSAT端站之间相互构成直接的通信链路，不通过VSAT主站转发。VSAT主站只起到全VSAT网络的控制、管理及VSAT主站和端站之间的通信。

从应用方面看，VSAT主要分为两大类，即共用VSAT网与专用VSAT网。

共用VSAT网确切地讲是主站共用VSAT网，经营者拥有功能较强的主站网控网管系统，以及较强的通信能力。各种类型的VSAT用户可以作为一个VSAT 子网在同一个VSAT主站控制管理下，组织本子网内的各种类型的通信业务。共用VSAT网在使用上较经济。用户自身一般不需要建投资很高、维护要求也很高的VSAT主站。特别在子系统内VSAT端站数量比较少，达不到规模效益的情况下，选用共用VSAT系统是比较合适的，目前提供船舶使用的VSAT网基本就是这种网络。

专用VSAT网在运行方式上和共用VSAT网一样，主要区别在行政管理上。专用VSAT网是由用户单位自己投资建设系统，自己运行管理，以解决自身的通信业务要求。VSAT端站的用户是本系统的一个分支机构，一般不对社会开放经营通信业务，也不纳入社会通信基础网络中。

2.3 VSAT业务及分类

VSAT系统可提供电话、传真、数据信息等多种通信业务，根据业务性质可分为数据通信网、语音通信网和电视卫星通信网三大类。数据通信网以数据通信为主，除数据通信外，还能提供传真及少量的话音业务;语音通信网以话音通信为主，主要供公用网和专用网话音信号的传输和交换，同时也能提供交互型的数据业务;电视卫星通信网以电视接收为主。

2.4 VSAT通信特点

与Inmarsat卫星系统相比，VSAT卫星通信系统的特点，主要包括以下几个方面。

（1）VSAT终端天线的直径较小，目前采用较多的是1.2～1.8 m。还有直径为0.3 m的便携式个人地球站。

（2）发射功率小，一般在1～3 W之间。

（3）重量轻，常用的为几十千克，有的小到几千克，便于携带。

（4）数据传输速度快，上行（终端到卫星）可达2 Mbps，下行（卫星到终端）可达64 Mbps甚至更高，通信费用低于Inmarsat系统。

（5）组网灵活，容易扩充，可使用多种网络结构。传统Inmarsat系统网络结构仅为星型，两个终端间通信存在明显延时，通信链路按“终端 卫星地面站卫星终端”进行。VSAT系统可以有多种网络结构，两终端间通信，通信链路可按“终端-卫星-终端”进行，大大缩减了信号传输延时。

2.5 VSAT系统存在的主要问题

VSAT系统组网灵活、容易扩充，这既是其优点，也是其缺点。由于VSAT系统组网容易，同时国际上也没有统一的标准对于VSAT宽带业务供应商进行约束和规范，所以涌现出了许多VSAT船舶宽带业务供应商，这些供应商有的租用卫星的转发器、波束，有的依附于大的VSAT供应商，提供的服务水平参差不齐。而个别航运用户也缺乏相关宽带VSAT卫星通信业务经验，往往只从价格上判断来选择VSAT通信业务供应商，这不但导致现在很多应用实际还是窄带通信模式，而且服务和网络安全保障也跟不上，突出的问题是使船舶网络容易遭受网络攻击的威胁。

3 VSAT系统网络安全的思考与建议

VSAT由于通信费用相对较低，信息传播速度比较高，在船舶上得到广泛的应用，使船舶成了陆地Internet的一个终端用户，船员可以方便地利用VSAT在船上进行电子邮件的收发、网页浏览、文件和资料下载等操作，这一方面丰富了船员的文化生活，对于稳定船员队伍、提升船员的士气和工作效率有着重要的作用;但是另一方面，VSAT的使用，遭受网络威胁的隐患也在不断增加，这也是船舶管理者不得不面对的一个紧迫而现实的问题。

2018年，Marlink通信公司的一份统计报告中指出：全球所有电子邮件中，70%以上含有垃圾邮件和病毒;已知的恶意软件程序超过500 000 000种，每天检测到的新型变种超过390 000个;船舶每天因网络攻击造成的网络中断引起的业务中断费用已超过50 000 美元;但是由于受到网络攻击而造成的损失不在船舶保险之列，这些损失得不到赔付。

面对来势汹汹的网络攻击，一些航运公司采用消极和极端的方式，就是封锁或限制VSAT的大部分功能的使用，这不仅违背了安装VSAT的初衷，同时在网络时代，网络已经融入船舶运营和管理的各个方面，如收发电子邮件、网络视频、网络电话、接收海上安全信息、电子海图更新等等，这些都离不开网络，为了船舶信息安全而让船舶与网络隔离，这在目前互联网、物联网时代是不现实也是不可取，现在需要做的就是主动了解可能对船舶网络造成威胁的原因，积极地进行预防和应对。

统计资料表明，80%的网络安全事件是由于人为错误造成。以下原因可能造成网络风险，使船舶网络面临遭受攻击的威胁。

（1）船员访问非指定的危险网站;

（2）船员从互联网下载危险文件;

（3）船员将恶意软件感染的USB存储设备与计算机连接;

（4）船上收到欺诈性垃圾邮件和钓鱼邮件，跳转至可盗取保密信息的网站;

（5）恶意软件感染从船员使用的网络扩散到运营性业务网络;

（6）船员接通船上一个未经授权的、可能潜在受到病毒感染的设备;

（7）通过一个公共的IP地址或静态IP地址远程访问另一个船舶的设备，使设备有受到网络攻击的危险;

（8）老旧软件存在安全漏洞，攻击者可能利用漏洞进入网络;

（9）船员不经过IT部门批准，擅自更改PC的配置，安装了其他应用程序;

（10）恶意软件修改IT系统，并/或删除重要的业务文件。

从上面列举的10项可能造成船舶网络遭受攻击威胁的原因看，人为的因素占很大一部分，所以除了加强对船员进行网络安全方面的教育外，还应该采取一些必要措施，确保网络安全。

（1）选择势力比较强的卫星通信服务提供商。由于船舶宽带VSAT卫星通信市场起步不久，同时也不是GMDSS规定的业务，现在没有规范标准，将来也不会有统一的标准，用户也缺乏管理宽带VSAT卫星通信业务经验，这种情况下，就应该选择势力比较强的卫星通信服务提供商，这些运营商有着丰富的应对网络攻击的经验，通过防火墙、网页过滤、文件识别以及文件备份等手段，确保船舶数据安全。

（2）对于比较大的航运公司，在条件允许情况下，打造一个统一的平台。平台建立后，将公司所属船舶的卫星通信服务统一到平台中，实现按要求分组、带宽调配等适应航运业务需求的功能，完成卫星通信业务的归口统一管理和服务运营。这样平台可以识别一些潜在的危险网站，并阻止船员浏览这些网站;平台也可以阻止一些文件的下载。通過集中处理各类卫星通信业务，保证航运公司船舶数据通信安全。

（3）船舶网络终端实行分类管理。把船员上网的网络与船舶营运性网络进行分割，并进行严格管理，对船舶营运性网络终端的USB等接口进行物理封堵。

（4）安装并及时更新杀毒软件，对于下载的文件，首先进行杀毒。

（5）对于外来的存储设备应在专用电脑上杀毒并打开。

（6）避免在公众互联网传送机密信息，以防止网络黑客截获经公共互联网传送的机密数据，造成商业机密泄露。

VSAT卫星通信系统以其便捷的服务、相对低廉的通信价格受到船东的青睐，与此同时也带来了船舶网络安全的问题，只要在应用该项业务的时候加强对于船员的网络安全教育，积极预防，就一定能够免于遭受网络攻击威胁，使VSAT系统在船舶营运和船员个人网络需求方面发挥更重要的作用。

作者简介：

柳邦声，教授，研究方向：船舶无线电通信与导航，（E-mail）liu.bangsheng@coscoshipping.com